根据国家互联网应急中心发布的《2020年我国互联网网络安全态势综述》报告显示:apt组织利用社会热点、供应链攻击等方式持续对我国重要行业实施攻击,远程办公需求增长扩大了apt攻击面。其主要有三大特征:第一,利用社会热点信息投递钓鱼邮件的apt攻击行动高发;第二,供应链攻击成为apt组织常用攻击手法;第三,部分apt组织网络攻击工具长期潜伏在我国重要机构设备中。
讲解实录
在谈apt攻击检测前,先了解下什么是检测。检测是著名网络安全模型pdrr(protection,detection,reaction,recovery,防护、检测、反制、恢复)的一个重要环节。防护是隔离、检测是发现、反制是采取相应措施、恢复是将损失降到最低。而这所有的一切中,检测是前提条件,只有发现问题才能应对。若是无法发现问题,后续任何措施也无法施展。
>>>检测位置一般由管理或者监管来决定
检测位置可在云端、网络处,也可在终端。从技术角度而言,云端、网络处是信息终结位置,信息到这两个节点可在服务器上处理,比如加工、展示,甚至直接展示,所以这个位置的检测对象相对明确且易获取。但从管理或监管角度来看,云端、终端却非常不合适,一般云端往往超出了管理范围,终端会面临分布式部署,且数量较多,部署、实施、管控很难实现。所以现实中大部分监管设备一般都部署在网络处。
网络是管道,理论上所有信息皆要通过网络管道进行传输,但管道中的信息并非信息的原始状态。它被打成了各种各样琐碎的报文,需要利用特殊技术,从网络传输的报文中还原检测对象。这些报文有重传、丢弃、单向的,甚至有压缩、加密的,最可怕的是还有专门针对检测设备逃逸制作的报文,所以在这方面对检测技术有着比较高的要求。但现实情况中,检测位置一般由管理或者监管来决定,而不由检测技术难易程度来决定。
检测模式一般采取前后端模式,前端部署检测设备,通俗称为“探针”,后端部署服务器进行数据分析,即大数据分析系统。前端设备主要接受网络流量、输出事件日志,后端设备收集所有信息,并进行统计、加工、分析、整理,或者通过计算模型得出统计结果。而apt检测基本采用前后端配合模式,前端实时处理,后端追溯查找。
>>>检测apt攻击的完整链条怎么做
准确来说,apt不是一种具体攻击,即没有一个系统会有apt漏洞。但apt是一种攻击形式,它会确定一个目标做好探测、侦查,用apt特有工具对喜爱的恶意样本发起攻击,攻击时间可能跨度非常长且锲而不舍,所以apt攻击又称高级可持续攻击。apt攻击特点是拥有自己专有、喜爱的特殊工具,另一个是不达目的不罢休。这也是大多数用户网络当中最不希望看到的攻击,所以有人说apt攻击是“不怕贼偷,就怕贼惦记”。
检测apt攻击有多种方法和技术,一般从恶意样本出发先从网络中还原样本,然后经过传统技术手段进行筛选,再利用新的检测技术引擎,排查疑似恶意样本。比如说天融信天璇实验室开发的tai系列智慧引擎,它可以通过海量样本训练出机器模型。它其实无法识别恶意样本分类、样本名字,但能识别出是否是恶意、值得进一步分析,值得关注的样本。
检测完毕后需要利用专业样本分析设备或者专业工程师,对其行为进行分析和鉴定,以识别它是否是未知恶意样本,这个过程如同大海捞针,需要很长时间才能完成。一旦鉴定出未知恶意样本,即可把它转换为已知规则,反向下发到检测设备,利用检测设备去观察更多行为表象,比如样本是谁在使用、地理位置在哪里、使用大概频率、使用规律以及地域特点等,甚至分析其代码相似度。如果运气足够好的话,是非常有可能发现一个真正的apt攻击。
当确认一个真正的apt攻击后,我们可以把它部署到更多检测设备中,通过在网络处进行分布式部署,以监测更多的节点、流量,收集更多的数据,利用数据分析或社会工程学方法,完全有可能追溯到使用apt攻击的组织或者个人。至此,一个完整的检测apt攻击链条已经形成。
最后我们也希望利用天融信现有的技术,帮助我们的客户一起,在未来能够发现更多的apt攻击,甚至是定位到apt组织。
天融信僵尸网络木马和蠕虫监测与处置系统(简称toptvd,俗称“九合一全流量威胁检测探针”),内置tai-1机器学习智慧引擎,结合虚拟沙箱技术,在不依赖任何规则库的情况下,可实现高效、精准的未知恶意程序检测能力,打破传统特征库匹配技术的束缚,同时还兼具隐蔽隧道检测、dga恶意域名检测和威胁情报检测的能力,是发现未知威胁特别是apt攻击的有力工具!
- 关键词标签:
- 天融信 apt攻击检测 网络安全模型pdrr